Blog ekspercki Capital Legal

Home > Blog ekspercki > RODO > Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych – cz. I

Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych – cz. I

Odpowiedź na pytanie, co powinna zawierać umowa o powierzenie przetwarzania danych osobowych tylko z pozoru wydaje się prosta. W rzeczywistości przygotowanie dobrej umowy powierzenia przetwarzania danych wymaga nie tylko znajomości przepisów, ale także doświadczenia. Korzystanie z wzorów umów powierzenia dostępnych na portalach i forach, w praktyce mija się z celem i może bardziej zaszkodzić niż pomóc. Na naszym blogu piszemy o tym, kiedy należy zawrzeć umowę powierzenia i co powinna ona zawierać. Jeżeli zastanawiasz się, czy powinieneś podpisać umowę powierzenia i co w niej zawrzeć – odpowiedź na te pytania znajdziesz poniżej. 

Na kim ciąży obowiązek zawarcia umowy powierzenia?

Obowiązek zawarcia umowy o powierzenie przetwarzania danych osobowych w równym stopniu ciąży na obu jej stronach – administratorze i podmiocie przetwarzającym (zwanym niekiedy również procesorem). Błędne jest zatem twierdzenie, powielane często przez podmioty przetwarzające, że wyłącznie administrator danych osobowych powinien doprowadzić do podpisania umowy powierzenia. Nie ma także uzasadnionych podstaw poglądu, zgodnie z którym przekazanie danych i przetwarzanie ich przez podmiot przetwarzający, mimo braku umowy, może powodować negatywne konsekwencje tylko dla administratora. Tymczasem zignorowanie omawianego obowiązku powoduje, że zarówno administrator nie może w zgodzie z przepisami przekazać danych do przetwarzania, jak i podmiot przetwarzający nie jest uprawniony do tego, by te dane przyjąć i wykonywać w imieniu administratora jakiekolwiek czynności z ich wykorzystaniem. Brak umowy powierzenia w sytuacji, gdy jej zawarcie jest obowiązkowe stanowi podstawę do nałożenia przewidzianej w RODO kary pieniężnej w wysokości do 10 mln euro, a w przypadku przedsiębiorstwa – do 2 % jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Kara taka może zostać nałożona zarówno na administratora, jak i podmiot przetwarzający.

Forma umowy powierzenia

Zgodnie z RODO umowa powierzenia powinna mieć formę pisemną, w tym elektroniczną. Zauważyć jednak należy, że określenia te są autonomicznymi pojęciami prawa unijnego i nie powinny być odnoszone do form obowiązujących w polskim porządku prawnym. Zgodnie z art. 781 § 1 kodeksu cywilnego, do zachowania elektronicznej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci elektronicznej i opatrzenie go kwalifikowanym podpisem elektronicznym. RODO nie stawia aż tak daleko idących wymagań. Dokonując wykładni użytego w RODO pojęcia „forma elektroniczna” należy uwzględniać cel przepisu, w którym to określenie zostało użyte. Umożliwienie administratorom i podmiotom przetwarzającym zawierania umowy powierzenia w formie elektronicznej miało ułatwić im nawiązywanie relacji oraz uprościć w praktyce realizację obowiązku zawierania umów powierzenia. Dlatego formę elektroniczną, o której stanowi RODO, należy uznawać raczej za odpowiednik formy dokumentowej zdefiniowanej w art. 772 kodeksu cywilnego. Zgodnie z powołanym przepisem, do zachowania dokumentowej formy czynności prawnej wystarcza złożenie oświadczenia woli w postaci dokumentu, w sposób umożliwiający ustalenie osoby składającej oświadczenie.

Samo powierzenie może mieć postać odrębnej (dotyczącej wyłącznie powierzenia) umowy, ale także zostać ujęte w ramach innego instrumentu prawnego, który podlega prawu unijnemu lub polskiemu oraz wiąże administratora i podmiot przetwarzający. W praktyce umowa powierzenia przybiera także postać oddzielnego paragrafu w umowie regulującej zasady współpracy stron lub jednostki redakcyjnej w ogólnych warunkach umownych (OWU). Podmioty ze sfery publicznej mogą dokonać powierzenia w drodze porozumienia administracyjnego.

Jedną z naczelnych zasad przetwarzania danych osobowych jest zasada rozliczalności. Stanowi ona, że administrator i podmiot przetwarzający są zobligowani w taki sposób zorganizować przetwarzanie danych osobowych, aby móc wykazać przed organem nadzorczym (PUODO) spełnienie poszczególnych określonych prawem obowiązków. W świetle tej zasady czynność powierzenia musi przyjąć utrwaloną postać, możliwą do odtwarzania w każdej chwili. Ze względu na fakt, że do powierzenia dochodzi najczęściej poprzez zawarcie umowy, w dalszej części artykułu będziemy posługiwać się pojęciem umowy powierzenia, przy czym treści te należy odnosić odpowiednio również do innych stosowanych w tym zakresie instrumentów prawnych.

Określenie rodzaju danych osobowych RODO oraz kategorii osób, których dane dotyczą

Obowiązkową treść umowy o powierzenie przetwarzania danych osobowych określa art. 28 ust. 3 RODO. Przepis ten jest dość rozbudowany i szczegółowy, niemniej samo jego powielenie nie wystarczy jeszcze, aby zawrzeć zgodną z prawem oraz zabezpieczającą interesy stron umowę powierzenia. Tworząc umowę powierzenia strony niejednokrotnie pomijają podstawową kwestię, czyli określenie, rodzaju powierzanych danych osobowych RODO oraz kategorii osób, do których te dane należą. Tymczasem podmiot przetwarzający może zgodnie z prawem przetwarzać wyłącznie te dane, które zostały wskazane w umowie powierzenia. Nie oznacza to jednak, że w umowie należy podawać konkretne dane o osobach i wskazywać każdą informację, jaka ma zostać przekazana. Wystarczy posługiwanie się kategoriami informacji, które mają być przetwarzane.

  • Przykład: umowa o powierzenie przetwarzania danych może stanowić, że powierzenie będzie dotyczyło danych pracowników i zleceniobiorców (określenie kategorii osób) w zakresie danych niewrażliwych, tj. imienia i nazwiska, numeru telefonu, adresu e-mail oraz adresu zamieszkania (wskazanie rodzaju danych).

Powierzenie, jak i przyjęcie do przetwarzania danych, których rodzaj oraz kategoria nie zostały określone w umowie jest niezgodne z obowiązującymi przepisami. Należy zatem podchodzić do omawianej kwestii wnikliwie i skrupulatnie, by nie pominąć żadnej z tych kategorii. Każda zmiana zakresu łączącej strony umowy, związana z rozszerzeniem lub ograniczeniem zakresu przekazanych danych, potencjalnie może wiązać się z koniecznością zmiany umowy powierzenia.

Określając rodzaj danych w umowie powierzenia należy pamiętać, że RODO definiuje dane osobowe szeroko. W konsekwencji informacje, których intuicyjnie nie uznalibyśmy za dane osobowe niejednokrotnie okazują się spełniać zawartą w RODO definicję danych osobowych. O definicji danych osobowych pisaliśmy w tym artykule. 

Szczegółowe obowiązki podmiotu przetwarzającego

Jeśli przedmiotem powierzenia są dane szczególnie istotne dla administratora, zwłaszcza dane wrażliwe, powinien on zadbać, aby umowa powierzenia określała szczegółowe warunki zabezpieczenia tych informacji przez podmiot przetwarzający. RODO wymaga jedynie, aby umowa powierzenia nakładała na podmiot przetwarzający obowiązek podejmowania wszelkich środków określonych w art. 32 Rozporządzenia. Wskazany przepis stanowi, że administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku związanemu z przetwarzaniem danych osobowych, z uwzględnieniem charakteru, zakresu, kontekstu i celów przetwarzania oraz potencjalnych zagrożeń dla bezpieczeństwa danych. Regulacja ta należy do najbardziej ogólnych w RODO i samo powielenie przedmiotowego przepisu w umowie z pewnością nie zabezpieczy należycie interesów administratora. Administrator, w celu ochrony swoich interesów powinien określić w umowie konkretne warunki, jakie podmiot przetwarzający jest zobowiązany spełniać przez cały okres trwania umowy. Mogą to być w szczególności wymagania w zakresie zabezpieczeń informatycznych, organizacyjnych, przeciwpożarowych, czy też ochrony budynków i pomieszczeń. Poprzez wprowadzenie do umowy powierzenia tego typu postanowień administrator uzyska instrumenty pozwalające mu formułować i egzekwować konkretne oczekiwania względem podmiotu przetwarzającego, co w efekcie zabezpieczy dane administratora na oczekiwanym poziomie.

Powierzenie przetwarzania danych osobowych

Umowa o powierzenie przetwarzania danych osobowych jest jedną z najistotniejszych instytucji określonych w RODO. Zawarcie umowy powierzenia pozwala nie tylko wypełnić obowiązek prawny wynikający z RODO, ale także zabezpieczyć swoje interesy jako administratora lub podmiotu przetwarzającego. Z uwagi na możliwe konsekwencje związane z nieuregulowaniem lub niewystarczająco szczegółowym uregulowaniem istotnych dla stron kwestii, warto poświęcić tej umowie więcej uwagi lub jej skonstruowanie powierzyć profesjonaliście. Dokona on oceny potrzeb i przeanalizuje interesy reprezentowanej przez siebie strony oraz zaproponuje postanowienia w maksymalnym stopniu urzeczywistniające te cele.

Kolejne elementy, które powinna zawierać umowa powierzenia omawiamy w artykule – „Powierzenie przetwarzania – na co zwracać uwagę zawierając umowę o przetwarzanie danych osobowych – cz. II”.

Dominik Bala

Inne artykuły

Przeczytaj również

Inspektor ochrony danych – kto ma obowiązek powołania inspektora...

Kto ma obowiązek powołania inspektora danych osobowych? Czy każda firma ma obowiązek powołać…

Więcej

Przetwarzanie danych osobowych – czy zgoda jest zawsze potrzebna?

Wiedza na temat ochrony danych osobowych staje się coraz bardziej…

Więcej

Kary na naruszenie RODO. Kto je ponosi i ile wynoszą.

Co grozi za naruszenie obowiązków określonych w RODO? Wraz z…

Więcej

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.